Pour gérer vos consentements :
Categories: LogicielsSécurité

Lexsi publie un guide pour exploiter les failles du greffon Java

Les failles de sécurité ouvrent la porte aux cyber criminels

Lexsi est un cabinet français spécialisé dans la sécurité informatique. Il rebondit aujourd’hui sur les failles Java constatées ces dernières semaines, au travers de son blog.

Et d’expliquer comment JNA (Java Native Access), qui permet d’interagir avec la mémoire et du code natif, peut être détourné pour lancer du code à distance.

Voici l’environnement ciblé par cette démonstration :

  • utilisation d’une session graphique déportée type Citrix ou autre ;
  • l’ensemble des applicatifs installés sur la machine est à jour ;
  • un antivirus dont les définitions sont à jour est installé et actif ;
  • l’accès à internet est protégé par des équipements de type WAF, proxy HTTP authentifiant ;
  • un système de SRP (Software Restriction Policy) ne permet d’exécuter qu’une application, un navigateur internet (ainsi que ses plug-ins, à savoir Flash et Java) ;
  • ce même système ne permet l’écriture de données qu’aux seuls endroits où le navigateur a la nécessité d’écrire des informations temporaires (cookies, cache, etc.).

Voilà qui ressemble à une imprenable forteresse. Erreur !

JNA : une porte béante dans le greffon Java

En quelques lignes de code il est possible d’allouer de la mémoire, d’y placer du code, puis de l’exécuter. Le tout à distance. Si certaines fonctionnalités sont filtrées lorsque Java est utilisé en tant que greffon, ce n’est visiblement pas le cas de JNA, qui devient ici particulièrement dangereux.

Grâce au bout de code de Lexsi, un exploit metasploit peut alors être envoyé à la machine faisant fonctionner Java. Efficace et tellement simple que cela en devient un peu effrayant. On comprend mieux dans ce contexte pourquoi la plupart des experts en sécurité recommandent de purement et simplement supprimer le greffon Java des postes de travail.

Ce que nous comprenons moins par contre, c’est pourquoi Oracle ne bloque tout simplement pas JNA au sein du plug-in. La société pourrait également se rapprocher des éditeurs de navigateurs web afin d’adapter le greffon au bac à sable intégré dans certains butineurs. Ce type d’attaque deviendrait alors inopérant… sauf à exploiter une éventuelle faille du bac à sable, bien évidemment !

Voir aussi
Quiz Silicon.fr – Connaissez-vous les secrets de Java ?

Share
Published by
David Feugey
Tags: greffonJavaLexsiMetasploitprogrammation
11 années ago

Recent Posts

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

2 jours ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

2 jours ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

2 jours ago

IA générative : les lignes directrices de l’ANSSI

Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…

3 jours ago

De la marque blanche à l’« exemption souveraine », Broadcom fait des concessions aux fournisseurs cloud

À la grogne des partenaires VMware, Broadcom répond par diverses concessions.

3 jours ago

iPadOS finalement soumis au DMA

iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.

3 jours ago